slut Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору enti вообще это вкуснее делать на коммутаторах доступа, например, через port-security. На L3-устройствах это как бы не предусмотрено, но реализовать можно посредством для примера arp + acl, но выглядеть это будет некашерно. Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 14:39 24-04-2008

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Isyaslav access-list inside_access_in permit ip any any access-list inside_access_out permit ip any any access-list outside_access_in permit ip any any access-list outside_access_out permit ip any any Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 09:17 25-04-2008 | Исправлено: res2001, 09:18 25-04-2008

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Isyaslav Та же проблемма, что и у меня. Вот общее правило для статического НАТа: static (real_interface,mapped_interface) mapped_ip real_ip netmask mask   Кстати сравни с тем что у тебя получилось!   Псомотри тут как организовать ПАТ: http://www.ciscolab.ru/2006/12/07/pix_natpat_statements.html У меня ПАТ не заработал на ASA5505 видимо что-то не докрутил. Пришлось ограничиться статическим НАТом. Но у тебя ситуация сложнее - доступ через Инет, и внешний адрес, по всей видимости, только 1. Поэтому без ПАТа не обойтись. У меня то выделенка точка-точка и адресов сколько угодно   Кроме того, думаю, что тебе надо организовать тунель IPSec для доступа к удаленной сети. На циске воспользуйся мастером VPN. А что у тебя на твоей стороне стоит? Тоже циска?   Кстати: у тебя маска сетей 255.255.254.0 , уверен что это правильно? Обычно бывает такая: 255.255.255.0 Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 09:12 28-04-2008 | Исправлено: res2001, 09:15 28-04-2008

LelikB Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день!   515 cisco pix   Есть 4 интерфейса: inside, outside и 2 dmz:   nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 nameif vlan3 dmz1 security60   к сожалению, есть только один внешний ip (10.10.10.1):   ip address outside 10.10.10.1 255.255.255.252 ip address inside 192.168.192.200 255.255.255.0 ip address dmz 192.168.100.1 255.255.255.248 ip address dmz1 192.168.101.1 255.255.255.248   dmz должна видится извне (хост 192.168.100.2) dmz1 пока не должна, но для нее должен быть доступ в интернет (хост 192.168.101.2) inside может ходить только в dmz   делаем таким образом:   global (outside) 200 interface nat (dmz) 200 192.168.100.0 255.255.255.248 0 0 nat (dmz1) 200 192.168.101.0 255.255.255.248 0 0   static (inside,dmz) 192.168.192.0 192.168.192.0 netmask 255.255.255.0 0 0 static (dmz,outside) 10.10.10.1 192.168.100.2 netmask 255.255.255.255 0 0   из dmz есть доступ в интернет dmz видится из интернета   Но dmz1 не имеет доступа в интернет.   Что я сделал не так? Соответствующие access-list настроены.   Если настроить static так: static (dmz,outside) tcp 10.10.10.1 smtp 192.168.100.2 smtp netmask 255.255.255.255 0 0 static (dmz1,outside) tcp 10.10.10.1 https 192.168.101.2 https netmask 255.255.255.255 0 0 static (inside,dmz) 192.168.192.0 192.168.192.0 netmask 255.255.255.0 0 0   То все работает. Однако необходимо, чтобы хост 192.168.100.2 видился снаружи не только по smtp, но и по pop3. Всего записей: 20 | Зарегистр. 21-08-2006 | Отправлено: 10:29 04-06-2008 | Исправлено: LelikB, 18:41 10-07-2008

8BNHWZ Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору pasta2 примеры конфигов тут. http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuration_examples_list.html выбирай под свою задачу Всего записей: 60 | Зарегистр. 18-05-2005 | Отправлено: 17:36 09-06-2008

V1968G Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Cisco PIX 515E, вскрыл пароль, сохранил конфиг настроек системы. Обновил прошивку с 6.3 до 7.2.2. Перезапустил систему. Система просит обновить до 64 мб ОЗУ. Делаю откат через монитор до 6.3, система просит ввести ключ, которого нет в документации. Посоветуйте идиоту, что делать. Заранее спасибо за помощь. Всего записей: 12 | Зарегистр. 24-07-2007 | Отправлено: 21:56 04-08-2008

kaurych Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Приветствую! Задача следующая: К Cisco PIX 501 мостом был прикручен Модем для Скайлинка - соответственно у Cisco PIX был по PPPoE статический IP, что позволяло с удалённым офисом использовать канал на IPsec Сейчас удалось подключить Corbina.ru но у этих ребят в интернет можно выйти только используя VPN по протоколу PPTP или L2TP. Но как выяснилось она поддерживает только входящие подключения по этим протоколам - что делать ? как решить проблему чтобы сохранить канал между офисами и начать юзать нормальный интернет оставив Cisco PIX 501? Может плюшку для неё какую нибудь доустановить, ОС обновить или девайс какой нибудь дешёвый перед ней поставить чтобы она маппинг поддерживала для проброса портов для VPN с использованием IPsec?     Всего записей: 465 | Зарегистр. 16-05-2006 | Отправлено: 20:56 25-08-2008 | Исправлено: kaurych, 20:58 25-08-2008

at200859 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Прошу помощи. Удаленный офис может подключаться к основному двумя разными маршрутами. В обоих офисах используются ASA 5505, подключенные одним интерфейсом в локальную cеть, а двумя другими к сетям двух провайдеров A и B соответственно. Удаленный офис устанавливает соединение Site-to-Site VPN через провайдера А или В, при недоступности А. Как проще сделать автоматическое переключение маршрута IPSec трафика между внешними интерфейсами ASA 5505 в основном офисе? Интересует опция Reverse Route Injection. Как она работает? Можно ли ее использовать для автоматического добавления маршрутов при установлении VPN соединения?   Добавлено: Еще вопрос. ASA 5505 синхронизирует свое время по внешниму источнику. Можно ли сделать ASA 5505 сервером времени и раздавать дальше уже свое время по локальной сети? Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 13:42 03-10-2008 | Исправлено: at200859, 16:01 03-10-2008

slut Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору at200859 Можно, довольно легко. Просто добавть в конфиг на ASA ntp server xxx.xxx.xxx.xxx (у меня уже лет семь стоит ntp server 134.214.100.6,  у него stratum 2) а на вашем сетевом оборудовании, серверах и локальных станциях - ntp server <адрес_ASA>   Проверка: sh ntp sratus, должно быть типа Код: Clock is synchronized, stratum 3, reference is 62.117.76.141 nominal freq is 250.0000 Hz, actual freq is 249.9929 Hz, precision is 2**18 reference time is CC9082FE.62338D96 (15:39:42.383 Moscow Fri Oct 3 2008) clock offset is 0.0979 msec, root delay is 5.77 msec root dispersion is 38.67 msec, peer dispersion is 1.27 msec Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 15:46 03-10-2008

at200859 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slut Цитата: на вашем сетевом оборудовании, серверах и локальных станциях - ntp server <адрес_ASA> не отдает моя asa 5505 время по локальной сети Пробовал получать время и со своей Windows XP и с сервера Novell Netware. Сама 5505 время синронизировала с внешним источником успешно. может раздавать время умеют только старшие модели 5510 и выше? а 5505 это не дано? или все-таки команду какую дать ей, чтобы она стала сервером времени? Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 09:16 06-10-2008

at200859 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Мой вопрос повис. Повторюсь. Неужели никто не знает как можно синхронизировать время рабочих станций (windows xp) с ASA 5505, не выпуская сами станции в интернет. Сама ASA 5505 берет время с ntp-сервера провайдера.   Кто-нибудь смог такое сделать? Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 16:40 13-10-2008

slut Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору at200859 Я беру с Catalyst 6506 из внутренней сети, он получает сквозь PIX извне. С чего задачи ntp должна решать секьюрная железка? Хотите полуать с ASA время - настраивайте доступ с inside к ntp. По умолчанию она и будт всё дропать.   Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 17:14 13-10-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование